Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2659-1 libapache-mod-security

Debians sikkerhedsbulletin

DSA-2659-1 libapache-mod-security -- XML-sårbarhed i ekstern entitetsbehandling

Rapporteret den:

9. apr 2013

Berørte pakker:

libapache-mod-security

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 704625.
I Mitres CVE-ordbog: CVE-2013-1915.

Yderligere oplysninger:

Timur Yunusov og Alexey Osipov fra Positive Technologies opdagede at XML-filfortolkeren i ModSecurity, et Apache-modul hvis formål er at forøge webapplikationssikkerheden, var sårbar over for angreb i forbindelse med eksterne XML-entiteter. En særligt fremstillet XML-fil leveret af en fjernangriber, kunne føre til lokal filblotlæggelse eller ekstremt forbrug af ressourcer (CPU, hukommelse) under behandlingen.

Opdateringen indfører valgmuligeheden SecXmlExternalEntity, der som standard er Off. Dermed deaktiveres libxml2's mulighed for at indlæse eksterne entiteter.

I den stabile distribution (squeeze), er dette problem rettet i version 2.5.12-1+squeeze2.

I distributionen testing (wheezy), er dette problem rettet i version 2.6.6-6 af pakken modsecurity-apache.

I den ustabile distribution (sid), er dette problem rettet i version 2.6.6-6 af pakken modsecurity-apache.

Vi anbefaler at du opgraderer dine libapache-mod-security-pakker.